Blogg | Knowit

With or Without You: Fem år med GDPR

Skriven av Jannika Törnqvist, Johanna Wallnäs och Marika Nordin | May 24, 2023 10:00:00 PM

Punktinsatser som följer av avsaknaden till processer. Hög tilltro till det kollektiva ansvaret som ingen tar. Olika tolkningar av och åsikter om de krav som verkligen ställs. Inte bara bristande engagemang utan ibland direkta motreaktioner.   

Känner du igen dig?  

I detta inlägg, som är del ett av två, uppmärksammar vi femårsdagen med GDPR genom att se över några av de främsta utmaningar kopplade till dataskydd som organisationer i dagsläget står inför. Vi som skrivit detta inlägg har utgått från våra olika kompetenser när vi resonerat kring problematiken för att skapa en bredare förståelse för kärnfrågorna och vad som ger upphov till dem. I nästa del kommer vi att fokusera på vägen framåt i form av olika åtgärdsförslag på dessa utmaningar.  

Glad femårsdag till er alla! 

----   

Det är fem år sedan EU:s allmänna dataskyddsförordning, eller den mer bekanta förkortningen GDPR, trädde i kraft. Fortfarande ses den 25 maj 2018 som en vändpunkt och början på en betydande omställning för organisationer inom Europa men också världen över.1 Dataskydd, alltså skyddet av personuppgifter, har kommit att bli något av en besvärlighet och som inte sällan hanteras som ett slags hinder i förbifarten. Samtidigt är det ovanligt att hitta en person som tycker att integritetsfrågor är irrelevanta och att skyddet för privatlivet inte alls är något eftersträvansvärt.  

När det kommer till den digitala integriteten navigerar vi en tillvaro som på många sätt kantas av det beteendeekonomiska begreppet hyperbolic discounting, som innebär att även om vi människor hävdar att vi bryr oss om integritet kan vi med enkelhet i stunden bortse från integritetsrisker till förmån för mer omedelbar tillfredsställelse. Detta blir särskilt tydligt i det som kallas privacy-paradoxen, nämligen att våra handlingar och beteenden inte är förenliga med våra åsikter hur viktigt vi tycker att det är att skydda vår integritet. Vi kan med andra ord uttrycka oro och till och med klaga på viss orättvisa och integritetskränkande förfaranden för att i nästa stund fritt dela med oss av våra uppgifter. 

Obalans i information, tid och inflytande 

Denna motsägelse faller sig kanske naturligt när vi reflekterar över den obalans av information, tid och inflytande som råder i vårt förhållande till de tjänster vi dagligen interagerar med. Vi är till exempel aldrig helt och fullt medvetna om vad företag faktiskt gör med våra uppgifter och vi saknar både tid och resurser för att fullt ut förstå vilka uppgifter som de faktiskt har tillgång till när det kommer till oss (ja precis, oberoende av om du som vi troget läser privacy notices). Allt som oftast har vi inte heller några andra val än att bara acceptera ”det goda med det dåliga” om vi över huvud taget vill få tillgång till en viss tjänst. Det är alltså inte konstigt att vi agerar som vi gör. Om vi alltså åsidosätter integritetsfrågan i våra egna liv, hur gör vi då när det kommer till andras personuppgifter? 

I IMY:s rapport 2023:1 ”Dataskyddsarbetet i praktiken” framgår denna passivitet särskilt tydligt.2 Där uppmärksammas problem som att dataskyddsombudet (DSO) blandas in för sent eller inte får behövligt gehör från ledningen men också att det saknas kontinuerliga och systematiska arbetssätt med dataskyddsfrågor. Denna typ av problem handlar med andra ord inte om kompetensbrist utan snarare beror på vanliga organisatoriska tillkortakommanden. Vi på Knowit har diskuterat frågan från olika utgångslägen baserat på våra olika kompetenser och erfarenheter för att hitta kärnfrågan och vill dela med oss av våra observationer med dig. 

 

1. Vilket ansvar? 

Det är knappast förvånande att roller och ansvar behöver definieras för att frågan om dataskydd ska fungera i en organisation. Ansvaret kan till och med vara tydligt förevigat i välformulerade interna styrdokument men där omsättningen i praktiken inte riktigt hänger med. I en värld där dataskydd upplevs som onödigt och hämmande och i bästa fall bara jobbigt är det inte många frivilliga som räcker upp handen när armar behöver kavlas upp.  

Denna låga nivå av ansvarstagande leder inte sällan till att organisationens dataskyddsarbete blir ”outsourcat” till DSO eller till informationssäkerhet, IT- och HR-avdelningarna. Fem år senare är DSO-rollen fortfarande missuppfattad på så vis att DSO behöver axla operativt ansvar och inte kan arbeta i enlighet med sin egentliga rollbeskrivning. Har en DSO andra roller internt är intressekonflikter inte heller ovanliga. Finns det inget för en DSO att granska, ingen att ge råd till eller inte tillräckligt med tid avsatt för uppdraget kan inte DSO utföra sina lagstadgade uppgifter. Förståelsen för att ”det där med GDPR” berör alla i organisationen är det första och kanske viktigaste steget en verksamhet måste ta. 

2. Process sa du? 

För att dataskydd över huvud taget ska kunna fungera i en organisation behöver definierade åtgärder tas upp i tillvägagångssätt som går att återvinna. Alternativet är att jobba ad hoc, vilket som bekant är en framgångssaga för att se till att saker faller mellan stolarna. Karaktäriserande för en fungerande process är varken att den behöver vara avancerad eller automatiserad utan att det finns en viss systematik för att skapa kontinuitet i arbetet. Vid avsaknad av processer gäller det alltså att skapa dem, nästa steg om integrering.   

Det kanske finns en välfriserad process på plats i ett dokument men den efterlevs inte, det vill säga att det med andra ord finns brist på integrering. Bristen på integrering kännetecknas i att det finns pappersprodukter som beskriver en verklighet och att organisationen helt sonika jobbar i en annan. Detta kan handla om att det inte finns förutsättningar för att i praktiken efterleva de interna rutiner som fastslagits, att de är för personberoende, att det finns stora tolkningsutrymmen och osäkerhet (antingen paralyserande eller risknegligerande), brist på intresse för att granska efterlevnad m.m. Till råga på allt finns det tendenser till att arbete utförs i silos, stuprör eller bara isolerat som också hämmar helhetsperspektivet och som nästan undantagslöst skapar oförenliga rutiner.  

Det finns heller inget sätt att förringa betydelsen av styrelsens eller ledningens engagemang i dataskyddsfrågor. Fenomen som svalt engagemang, bristande stöd och förståelse från styrelsen eller ledningen är direkt förknippade med varför organisationen inte lyckas med dataskydd. Det är å andra sidan ovanligt att en styrelse eller ledning skulle avfärda dataskyddsfrågor och relaterade risker som direkt oviktiga för organisationen. Det som ofta händer är att dataskydd konstateras vara viktigt men inte får det tidsmässiga utrymme som behövs för djupare förståelse av risker eller att frågan helt enkelt inte prioriteras. Här brukar det existera en s.k. målkonflikt där, i ljuset av andra mer akuta mål, skyddet av personuppgifter får ge vika.  

3. Luckan genom vilken kunskapen smiter ut 

Kraven i GDPR är generellt formulerade för att kunna vara brett tillämpliga, varför det inte alltid är solklart vad som gäller i den givna situationen. Detta faktum ställer krav på organisationens förmåga att hänga med i rådande rättsläge och kunna dra både korrekta och ändamålsenliga tolkningsparalleller till den egna verksamheten. Kunskapsbrister är vanligt förekommande och knepiga att komma åt i och med att de är osynliga (vet du vad du inte vet?). Organisationen kanske känner till att det finns något som heter personuppgiftsincidenter men undgår att se en given händelse som personuppgiftsincident när en sådan inträffar (”Men inga namn framgick ju”).  

Kunskapsbrister leder inte sällan till försenade reaktioner, något som kan få oönskade följder för organisationer inte bara när det kommer till personuppgiftsincidenter utan också för att kunna uppmärksamma en förfrågan om att tillgodose den registrerades rättigheter. I dessa fall finns det en klocka som tickar, det vill säga tydliga krav på att agera inom viss tid och att försumma sådana tidsfrister har inte setts på med blida ögon från tillsynsmyndigheters håll. Här kan vi inte låta bli att tillägga att vi alla ibland faller offer för snedvridningar såsom optimism bias, som innebär att vi systematiskt underskattar sannolikheten för att vi själva skulle drabbas av en negativ händelse, såsom personuppgiftsincidenter, tillsyn, mediadrev m.m.  

Med de orden avrundar vi första delen på detta tudelade blogginlägg. Oroa dig inte, vi lämnar dig inte med en känsla av djup olust utan ett löfte om att fortsättning på resonemanget följer. I nästa bloggavsnitt kommer vi att dela med oss av observationer vad gäller de konsekvenser som bristande dataskyddsarbete kan få. Dessutom, och kanske viktigast av allt, ser vi fram emot att utveckla tankegången om hur en organisation kan börja nysta i problemen för att komma framåt. Vad händer när vi i stället för att se GDPR som ett nödvändigt ont ställer oss den högst befogade frågan om hur vi ska förhålla oss till skyddet av våra personuppgifter i en tid där framtiden faktiskt börjat komma i kapp? 


----- 

Jannika Törnqvist, Senior dataskyddsjurist 

Johanna Wallnäs, Verksamhetsutvecklare och strateg 

Marika Nordin, Senior managementkonsult 

 

Fotnoter

1: För att inte tala om oss dataskyddsjurister som fick ett helt nytt existensberättigande. 

2: Här kan du läsa hela rapporten:
https://www.imy.se/globalassets/dokument/rapporter/dataskyddsarbetet-i-praktiken.pdf.